這篇"Independence Does Not Mean Isolation"是2025年8月6日在Directors and Boards網站刊出、Ian Koplin所寫的文章。主題是探討Baker Tilly和Internal Audit Foundation最近公佈一份關於企業風險管理(Enterprise Risk Management,ERM)的報告。其邀請Institute of Internal Auditors全球標準、指引和認證執行副總裁Benito Ybarra、Baker Tilly風險諮詢實務總負責人Corey Parker一起深入研討這份報告。以下針對與董事會直接有關的內容作介紹。
Directors & Boards(DB):這份報告強調了,組織策略內含有風險意識的公司比例才49%。為何對董事會而言,卻報ERM完全納入策略討論如此重要?以及董事可如何衡量:是否有達到整合?
Benito Ybarra(BY):有時候董事會會不自覺地施加不必要壓力給組織,因為他們不真正瞭解組織的能力。管理階層對董事會願景說「不」,十分罕見吧?如果你具備堅實的ERM流程,向董事會報告組織結構、能力、特定領域的成熟度,還有某些弱點,會幫助他們平衡其需求。如此董事會就不會施加不必要壓力給公司領導人、可能創造有毒的工作環境及引發舞弊。真正堅實的ERM會協助推動透明度,對做出經營決定採更成熟的方法。
Corey Parker(CP):董事會治理對於有效的企業風險管理是重要元素。雖然管理階層本就有組織的風險管理計畫,但董事會要負責提供指引和回饋意見,最終,確保管理階層採取的行動符合組織風險胃納。承擔風險應該是意識清楚的,而管理階層採取的決定和行動,都應該要符合管理階層願意承擔的風險範圍。建立這些限制或風險胃納,會協助董事會與管理階層更有效評估風險決定、並將風險管理整合到組織上下。
DB:董事應該怎麼期待執行長參與ERM(除原本責任以外),以及在風險管理上促進持續的董事會-執行長合作上,有什麼最佳實務?
CP:COSO有提供一個基本架構,內含20個原則、五個相關要素,報告裡面有探討。第一個元素就是治理和文化,可作為路徑圖,以及為參與ERM者建立有效風險監督和建立角色、責任及期望的基礎,包括董事會和執行長。但是這不是落實ERM、有效執行一體適用的模式或清單。
我們典型上會看到的一件事就是:關於執行長參與或和管理階層互動,屬管理階層層級的風險委員會。這是組織用來建立風險治理的一個常見工具,且典型上是由組織的經營團隊組成,包括高階管理者,他們真正瞭解組織目標,並在提供支持這些人全面性合作、溝通及賦權上瞭解如何達成平衡,以建立組織內的風險意識。執行長在這個流程裡有著重要角色,因為他們通常被定位為此委員會的領導人、直接和董事會與/或董事會層級的委員會協調,以提供更新。此報告通常至少每年更新一次,或頻繁一些的是每季。
DB:報告裡的領導性ERM計畫強調,確保內部稽核的獨立性。董事會如何平衡監督,又不侵犯稽核的客觀性?
CP:角色與責任需要明確定義三道防線的每一道。關於董事會、管理階層和內部稽核,建立治理結構以推動問責文化並協助建立適當的邊界,可提高透明度,同時也明確劃分三道防線裡每道關鍵利害關係人的角色和責任。利用內部稽核部門的風險專長,緊密地和涉及整個組織風險管理活動之利害關係人合作,不僅可透過對ERM採協調性方法而加值,亦可協助避免措施重疊,並推動透明度以協助強化整體的ERM方法、確保維持獨立性。
BY:獨立性不代表就是孤立。獨立只是指內部稽核在不受限制下執行所需的稽核工作。這是董事會監督責任的關鍵。董事會需要能夠仰賴獨立部門(像內部稽核),並確保獨立性完整。
DB:報告強調,成熟的ERM計畫能讓風險情報強化策略決定。董事可如何評估ERM成熟度,以及這件事對長期組織韌性會有什麼影響?
BY:如果你的風險管理計畫可帶動成功、成功的決定以及正確地辨識風險,那這不只是避免和接受而已,還包括承擔風險—這是一個運作良好的ERM計畫。當你覺得對這件事滿意後,最重要的是從外部比較你和其他方的風險模型,因為你可以從中學習。焦點就是持續改進。
CP:內部稽核可就組織的ERM計畫提供客觀獨立的評估,並利用產業架構和成熟標準,引導組織向前。評估ERM成熟度,是對組織利害關係人展示,最高層有投資並關注ERM。
資料來源:https://www.directorsandboards.com/articles/article-risk/independence-does-not-mean-isolation/
沒有留言:
張貼留言